Todos los artículos del blog

Google Analytics y RGPD: cómo usar GA4 de forma legal en España

Close
Tiempo de lectura
7 min
Publicado
Abr 30, 2026
Compartir
Ilustración abstracta de gráficos y herramientas de analítica junto con iconos de privacidad

La mayoría de webs en España tienen Google Analytics instalado, pero pocas lo tienen configurado de forma conforme al RGPD. Te explicamos los tres requisitos que debes cumplir y cómo hacerlo con Cookiebot.

¿Google Analytics cumple el RGPD en España?

No por defecto. Google Analytics 4 (GA4) recoge datos que el [RGPD](https://www.cookiebot.com/es/que-es-el-rgpd/) considera personales (dirección IP, identificadores de cookies, datos de navegación) y los transfiere a servidores de Google, que pueden estar ubicados en Estados Unidos. Por lo que, sin una configuración adecuada y sin el consentimiento previo del usuario, utilizar GA4 en una web dirigida a usuarios europeos constituye un incumplimiento.

Eso significa que necesitas cumplir tres requisitos de forma simultánea para poder utilizar GA4 de manera conforme: obtener el consentimiento antes de que el script se cargue, configurar GA4 de forma restrictiva y declarar su uso en tu política de cookies. Si falta uno solo de estos tres, utilizar GA4 puede ser arriesgado.

La AEPD y Google Analytics: contexto y situación actual

La relación entre Google Analytics y las autoridades europeas de protección de datos ha sido compleja. En 2021 y 2022, tras la sentencia Schrems II del Tribunal de Justicia de la UE (que invalidó el Privacy Shield), las autoridades de Austria, Francia, Italia y Países Bajos declararon ilegales las transferencias de datos a EE.UU. a través de Google Analytics.

En España, la AEPD investigó el caso tras las reclamaciones de NOYB contra la Real Academia Española (RAE) y otras entidades. En diciembre de 2022, la AEPD archivó el caso de la RAE porque esta había dejado de utilizar Google Analytics. No llegó a pronunciarse sobre la legalidad del servicio en sí, pero la señal fue clara: el uso de GA sin garantías de transferencia adecuadas estaba bajo escrutinio.

La situación cambió en julio de 2023, cuando la Comisión Europea adoptó el Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework o DPF), que proporciona una nueva base legal para las transferencias de datos a empresas estadounidenses adheridas al marco. Google está adherida al DPF, lo que significa que las transferencias de datos a Google a través de GA4 cuentan actualmente con una base legal válida.

Sin embargo, el DPF no elimina las demás obligaciones del RGPD. Sigues necesitando consentimiento previo para activar las cookies de GA4, una configuración restrictiva y transparencia informativa en tu política de cookies.

Los 3 requisitos para usar GA4 de forma legal en España

1. Consentimiento previo antes de que GA4 se cargue

GA4 instala cookies en el navegador del usuario (principalmente `_ga` y `_ga_[ID]`, con una duración de hasta 2 años) que el RGPD clasifica como datos personales. Estas cookies no son estrictamente necesarias para el funcionamiento de tu web, por lo que requieren el consentimiento previo del usuario antes de activarse.

Esto significa que el script de GA4 no puede cargarse hasta que el usuario haya aceptado las cookies analíticas en tu banner de consentimiento. Si GA4 se activa al cargar la página, antes de que el usuario interactúe con el banner, estás incumpliendo. Es exactamente la infracción por la que la AEPD sancionó a SEAT en 2024.

Si usas WordPress, muchos temas y plugins cargan GA4 directamente en el `<head>` sin ningún mecanismo de bloqueo. Necesitas un sistema que impida la ejecución del script hasta que se reciba el consentimiento. Consulta nuestra guía sobre cómo configurar un banner de cookies conforme en WordPress para ver cómo implementarlo.

2. Configuración restrictiva de GA4

Incluso con consentimiento, debes configurar GA4 de forma que minimice el tratamiento de datos personales. Estas son las medidas recomendadas:

Desactiva Google Signals

Google Signals vincula los datos de GA4 con las cuentas de Google de los usuarios para crear informes cross-device y audiencias publicitarias. Si no lo necesitas para tus campañas, desactívalo. Ve a «Administrar > Configuración de datos > Recopilación de datos» y desactiva Google Signals.

Reduce el plazo de retención de datos

GA4 permite configurar la retención de datos a 2 o 14 meses. Establece el mínimo (2 meses) a menos que tengas una justificación concreta para conservarlos más tiempo. Ve a «Administrar > Configuración de datos > Retención de datos».

Desactiva las funciones publicitarias si no las usas

Si no ejecutas campañas de remarketing ni audiencias basadas en GA4, desactiva las funciones de publicidad personalizada. Esto reduce los datos que GA4 comparte con la red publicitaria de Google.

Activa la anonimización de IP

En GA4, la anonimización de IP está activada por defecto (a diferencia de Universal Analytics). Verifica que no se ha desactivado en tu configuración.

3. Declarar GA4 en tu política de cookies

Tu política de privacidad y tu política de cookies deben informar de forma clara sobre el uso de GA4. La información que debes incluir:

Identificación del servicio y del proveedor

Google Analytics 4, operado por Google LLC (o Google Ireland Ltd., según la configuración).

Cookies que instala

`_ga` (duración: 2 años), `_ga_[ID]` (duración: 2 años). Ambas son cookies analíticas de terceros.

Finalidad

Elaborar estadísticas de tráfico y comportamiento de navegación del sitio web.

Datos que recoge

Dirección IP (anonimizada), páginas visitadas, tiempo de permanencia, fuente de tráfico, tipo de dispositivo y navegador.

Transferencias internacionales

Los datos se transfieren a Google LLC en Estados Unidos al amparo del Marco de Privacidad de Datos UE-EE.UU. (DPF), decisión de adecuación de la Comisión Europea de 10 de julio de 2023.

Base legal

Consentimiento del usuario (art. 6.1.a RGPD).

Google Consent Mode v2: por qué es necesario para GA4

Desde marzo de 2024, Google Consent Mode v2 es obligatorio para todas las webs que utilicen productos de Google dirigidos a usuarios del EEE. Consent Mode conecta tu banner de cookies con las etiquetas de GA4 y ajusta su comportamiento según el consentimiento del usuario.

Cuando el usuario acepta, GA4 opera con normalidad. Cuando rechaza, GA4 (en modo avanzado) envía pings anonimizados sin cookies que Google utiliza para su modelado estadístico. Sin Consent Mode v2 activo, tus datos de GA4 para visitantes europeos estarán incompletos y Google puede limitar las funcionalidades de tus campañas.

Alternativas a Google Analytics con exención de la AEPD

Existen herramientas de analítica que, correctamente configuradas, pueden operar sin consentimiento porque no instalan cookies de terceros ni transfieren datos fuera de la UE:

  • Matomo (autoalojado): si alojas Matomo en tus propios servidores y desactivas las funciones que generan cookies de seguimiento, puede considerarse una herramienta de analítica propia que no requiere consentimiento. Debes verificar que no comparte datos con terceros y que la anonimización de IP está activada.
  • AT Internet (Piano Analytics): reconocida por la CNIL francesa como herramienta exenta de consentimiento cuando se configura de forma restrictiva. La AEPD no ha emitido una declaración equivalente, pero su posición es afín a los criterios de la CNIL.

Estas alternativas pueden ser adecuadas si tu único objetivo es la analítica de tráfico básica. Sin embargo, si necesitas integración con Google Ads, remarketing o modelado de conversiones, GA4 con Consent Mode v2 sigue siendo la opción más completa.

Paso a paso: bloquear GA4 hasta el consentimiento con Cookiebot

Vía plugin de WordPress

Si usas el plugin de Cookiebot para WordPress, la integración es automática. Cookiebot detecta el script de GA4 en tu sitio y lo bloquea hasta que el usuario consiente las cookies analíticas. Para activar el bloqueo:

1. Instala y activa el plugin de Cookiebot desde «Plugins > Añadir nuevo».

2. Introduce tu Domain Group ID en los ajustes del plugin.

3. En «Cookiebot > Settings», verifica que el modo de bloqueo automático está activado.

4. Cookiebot escaneará tu sitio, detectará las cookies de GA4 y las clasificará como analíticas.

5. El script de GA4 no se ejecutará hasta que el usuario acepte las cookies analíticas en el banner.

Vía Google Tag Manager

Si gestionas GA4 a través de GTM:

1. Añade la etiqueta de Cookiebot CMP desde la galería de plantillas de GTM.

2. Configura los parámetros de Consent Mode v2 en la etiqueta de Cookiebot.

3. En la etiqueta de GA4, asegúrate de que el consentimiento integrado (built-in consent) está activado para `analytics_storage`.

4. Publica los cambios. La etiqueta de GA4 respetará automáticamente el estado de consentimiento transmitido por Cookiebot.

En ambos casos, Cookiebot añade automáticamente las cookies de GA4 a la declaración de cookies de tu sitio, con su nombre, proveedor, finalidad y duración.

Qué significa esto para tu web y cómo te ayuda Cookiebot

Si tienes GA4 instalado en tu web y no estás bloqueando su carga antes del consentimiento, tu sitio no cumple con el RGPD ni con la LOPDGDD. No basta con tener un banner: el script de GA4 debe estar bloqueado hasta que el usuario acepte. Y eso requiere un mecanismo técnico que lo haga de forma automática.

Cookiebot resuelve este problema. Su tecnología de escaneo patentada detecta GA4 y cualquier otra tecnología de seguimiento activa en tu web, bloquea su ejecución hasta el consentimiento y transmite las señales de Consent Mode v2 a Google de forma automática. Además, genera y mantiene actualizada la declaración de cookies para tu política de privacidad.

Cookiebot bg shield

Puede que GA4 esté recopilando datos en tu web sin consentimiento.

Compruébalo en segundos

Preguntas frecuentes

No es ilegal per se, pero su uso sin consentimiento previo y sin las configuraciones adecuadas sí constituye un incumplimiento del RGPD y la LOPDGDD. Desde julio de 2023, las transferencias de datos a Google están amparadas por el Marco de Privacidad de Datos UE-EE.UU. (DPF), lo que resuelve el principal problema legal que existía anteriormente. Sin embargo, el consentimiento previo y la configuración restrictiva siguen siendo obligatorios.

No. Aunque GA4 anonimiza la IP por defecto, las cookies que instala (`_ga`, `_ga_[ID]`) siguen siendo datos personales según el RGPD, porque permiten identificar de forma única al usuario durante sus visitas. La anonimización de IP es una medida adicional de protección, no un sustituto del consentimiento.

Si tienes Consent Mode v2 en modo avanzado, GA4 envía pings anonimizados (sin cookies, sin identificadores) que Google utiliza para estimar las sesiones y conversiones perdidas mediante modelado estadístico. En modo básico, no se envía ningún dato. En ambos casos, los datos de usuarios que no consienten no se asocian a identificadores personales.

Cada vez que Google actualice GA4 (nuevas funciones, cambios en la recogida de datos), cuando cambies tu configuración de campañas o cuando la AEPD emita nuevas directrices. Como mínimo, una revisión semestral es recomendable. Si usas Cookiebot, los escaneos periódicos te alertan de cualquier cambio en las cookies de GA4.

Depende de la configuración. Matomo autoalojado, con anonimización de IP y sin cookies de terceros, puede considerarse exento. Pero si utilizas Matomo Cloud, activas funciones de seguimiento entre sitios o compartes datos con terceros, necesitas consentimiento. La exención no es automática: depende de cómo configures la herramienta.